Compliance & Internal Investigations23.08.2023Köln / Frankfurt am Main / Hamburg Newsletter
Datenschutzrechtliche Leitplanken für den Einsatz von Digital Compliance
In unseren bisherigen Beiträgen zur „Digital Compliance“ haben wir Ihnen Funktionsweise und Anwendungsfälle von softwarebasierten Compliance-Tools erläutert. Da bei dem Einsatz dieser Tools auch umfangreich personenbezogene Daten von eigenen Mitarbeitern sowie Kunden verarbeitet werden, sind bei dem Einsatz solcher Tools vor allem datenschutzrechtliche Anforderungen zu beachten.
Datenschutzrechtlicher Grundsatz: Verbot mit Erlaubnisvorbehalt
Wenn ein Compliance Tool die internen Vorgänge auswertet und auf mögliche Verstöße hin untersucht, werden in der Regel hierbei personenbezogene Daten von natürlichen Personen (Mitarbeiter, Kunden, andere Dritte) berücksichtigt und einbezogen.
Im ersten Schritt ist zu analysieren, auf welche personenbezogene Daten das Compliance Tool zugreifen könnte. Wenn feststeht, welche personenbezogene Daten verarbeitet werden könnten, muss geprüft werden, ob ein datenschutzrechtlicher Erlaubnistatbestand für die Verarbeitung besteht. Die DSGVO sieht vor, dass Datenverarbeitungen grundsätzlich verboten sind, außer es liegt ein konkreter Erlaubnistatbestand vor.
Als Erlaubnistatbestand kommen insbesondere die überwiegenden Interessen des verantwortlichen Unternehmens in Betracht (Art. 6 Abs. 1 lit. g DSGVO). Um sich auf diesen Erlaubnistatbestand zu berufen, ist allerdings eine vorherige Interessenabwägung erforderlich, die dokumentiert werden sollte. In Bezug die Verarbeitung von Mitarbeiterdaten könnte im Einzelfall auch der Erlaubnistatbestand in § 26 Abs. 1 S. 2 BDSG zur Anwendung gebracht werden, nämlich wenn die Datenverarbeitung zur Aufdeckung von Straftaten von Beschäftigten erforderlich sind. Hierzu sind jedoch ein Verdacht mit dokumentierten tatsächlichen Anhaltspunkte notwendig, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Einbeziehung des Betriebsrats
Neben den datenschutzrechtlichen Erlaubnistatbeständen ist zudem das Mitbestimmungsrecht des Betriebsrats zu berücksichtigen. Nach § 87 Abs. 1 Nr. 6 BetrVG ist der Betriebsrat bei der Einführung bzw. Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, einzubeziehen. Bei vielen Compliance Tools liegt es nahe, dass sie die soeben genannten Anforderungen erfüllt, sodass in jedem Fall vor der Einführung zu prüfen ist, ob der Betriebsrat einzubeziehen ist.
Eine Einbeziehung und Einigung mit dem Betriebsrat über die Einführung eines Compliance-Tools hätte neben der Erfüllung der Pflicht aus § 87 Abs. 1 Nr. 6 BetrVG den Vorteil, dass man mit einer Betriebsvereinbarung einen datenschutzrechtlichen Erlaubnistatbestand für die Verarbeitung von personenbezogenen Daten der Arbeitnehmer schaffen würde. Zu berücksichtigen ist jedoch, dass eine Betriebsvereinbarung keinen Erlaubnistatbestand für die Verarbeitung von Daten von Dritten, wie Geschäftspartner, darstellen kann.
Prinzip der Datensparsamkeit (Privacy by design)
Compliance Tools würden am besten funktionieren, wenn das Tool so viele Daten aus so vielen Quellen wie möglich verarbeiten würde. Die DSGVO fordert jedoch mit dem Prinzip der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO), ein technisches System zur Datenverarbeitung so zu gestalten, dass es seine Funktion mit möglichst wenigen Daten, die personenbezogen sind, erfüllen kann („privacy by design“). Entscheidender Maßstab für den Umfang der jeweiligen zu verarbeitenden Daten ist der Verarbeitungszweck. Ausgehend vom konkreten Verarbeitungszweck ist zu bestimmen, welche personenbezogenen Daten zur Erreichung des Verarbeitungszwecks zwingend erforderlich sind. Um das zu erreichen, können technische Maßnahmen wie etwa Anonymisierung, Pseudonymisierung oder Zugriffsbeschränkungen angewendet werden. Allerdings bestehen für die Anonymisierung und Pseudonymisierung personenbezogener Daten hohe Hürden: Die Möglichkeit einer Anonymisierung ist abhängig davon, ob es möglich ist, die jeweilige betroffene Person aufgrund der vorhandenen Daten im gesamten Datenbestand innerhalb des Unternehmens oder ggf. sogar eines Dritten mit vertretbarem Aufwand an Zeit, Kosten und Arbeitskraft zu identifizieren.
Prinzip der Transparenz
Das Prinzip der Transparenz soll gewährleisten, dass die Betroffenen immer wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Demnach sind die betroffenen Personen (Mitarbeiter, ggf. Geschäftspartner, sonstige Dritte) über den Einsatz des Compliance Tools und den damit verbundenen Datenverarbeitungen zu informieren (Art. 13, 14 DSGVO). Die Betroffenen haben zudem jederzeit Auskunftsrechte bezüglich der mit dem Tool durchgeführten Verarbeitungen, die bei Geltendmachung innerhalb eines Monats vom verantwortlichen Unternehmen zu beantworten sind.
Compliance Tool sollte keine automatisierten Entscheidungen treffen
Art. 22 Abs. 1 DSGVO untersagt Entscheidungen, die „ausschließlich“ auf der Grundlage einer automatisierten Verarbeitung getroffen werden und „rechtliche Auswirkungen“ auf eine Person haben oder sie „ähnlich erheblich“ beeinträchtigen. Dies gilt grundsätzlich auch für Entscheidungen, die mithilfe von Compliance Tools getroffen werden und Einzelpersonen betreffen. Voraussetzung ist, dass die Entscheidung einen wesentlichen Einfluss auf den Einzelnen hat. Dies ist etwa zu bejahen, wenn ein Bewerber nicht eingestellt oder eine Kündigung ausgesprochen wird. Die Entscheidung darf nicht „ausschließlich“ auf der automatisierten Verarbeitung beruhen, was der Fall ist, wenn es keine relevante menschliche Beteiligung am Entscheidungsprozess gibt. Führt der automatisierte Prozess lediglich zu einer Empfehlung und berücksichtigt ein Mensch vor der endgültigen Entscheidung weitere Faktoren, basiert die Entscheidung nicht „ausschließlich“ auf einer automatisierten Verarbeitung. Demnach sollten Unternehmen vor der Einführung von Compliance Tools prüfen, ob die „Entscheidungen“ des Tools signifikante Auswirkungen auf Arbeitnehmer oder andere Dritte haben können. Wenn ja, sollten die Unternehmen sicherstellen, dass in die endgültige Entscheidung ein Mensch einbezogen wird. Der Umfang der menschlichen Beteiligung am Entscheidungsfindungsprozess sollte vom Unternehmen zudem dokumentiert werden.
Ist der Tool-Anbieter Auftragsverarbeiter oder eigener Verantwortlicher?
Vor der Einführung eines Compliance Tools ist zu prüfen, ob der Anbieter des Tools selbst Zugriff auf die personenbezogenen Daten des verantwortlichen Unternehmens haben könnte. Dies ist in der Regel bei einem Cloud-Betrieb der Fall. Wenn Zugriffsmöglichkeiten bestehen, ist die datenschutzrechtliche Rolle des Anbieters zu bewerten. Verarbeitet der Anbieter die Daten ausschließlich auf Weisung und zu den vom verantwortlichen Unternehmen festgesetzten Zwecken, ist der Anbieter datenschutzrechtlicher Auftragsverarbeiter. In diesem Fall müsste mit dem Anbieter eine Auftragsverarbeitungsvereinbarung mit dem Inhalt der in Art. 28 Abs. 3 DSGVO genannten Regelungen abgeschlossen werden.
Wenn der Anbieter die Daten zu eigenen Zwecken verarbeiten möchte (z.B. zu Test- und Entwicklungszwecken für das eigene Tool), wäre zu prüfen, ob die Unternehmen und der Anbieter gegebenenfalls sogar gemeinsame Verantwortliche sind.
Prüfung der Erforderlichkeit einer Datenschutz-Folgenabschätzung
Mitunter könnte der Einsatz eines Compliance Tools die Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO erforderlich machen. Dies ist der Fall, wenn die Datenverarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist. Ob eine Datenschutz-Folgenabschätzung im Einzelfall notwendig ist, hängt insbesondere vom konkreten Compliance Tool als auch von den jeweiligen personenbezogenen Daten, die verarbeitet werden sollen, ab.
Eine Datenschutz-Folgenabschätzung ist vor der Aufnahme der zu betrachtenden Verarbeitungsvorgänge durchzuführen. Gerade beim Einsatz neuer Technologien, insbesondere KI-Tools, sollten Unternehmen immer vor deren Einführung die Erforderlichkeit einer Datenschutz-Folgenabschätzung prüfen und das Ergebnis der Prüfung dokumentieren.
Berücksichtigung zukünftiger Regelungen der KI-Verordnung
Der europäische Gesetzgeber beschäftigt sich derzeit mit harmonisierten Vorschriften für Künstliche Intelligenz (sog. KI-Verordnung). Es wird damit gerechnet, dass die Verordnung Mitte 2024 in Kraft treten könnte. Der aktuelle Entwurf der KI-Verordnung sieht weitere Pflichten für den Anbieter von künstlicher Intelligenz und die Nutzer vor. Wir empfehlen daher, vor Einführung einer Compliance Software mit KI Bestandteilen die aktuellen Entwicklungen der KI-Verordnung zu berücksichtigen.